Par Lookout —**—
Le travail à distance a accru la dépendance des employés envers leurs terminaux personnels, plaçant ainsi les smartphones et les tablettes plus que jamais à l’intersection de leur vie professionnelle et personnelle.
- Au cours des trois premiers mois de 2020, le nombre d’attaques de phishing sur mobile s’est accru de 37% d’après les chiffres de Lookout.
- Les attaquants exploiteront toujours des événements sociétaux tels que crises sanitaires, campagnes politiques ou lancements de produits majeurs pour inciter leurs victimes à oublier les avertissements de sécurité.
- En exploitant un theme plus personnel qui génère une réaction instinctive, l’attaquant crée une situation où sa victime n’inspectera plus le lien ou la page web qu’il lui présente et cliquera dessus sans réfléchir.
- Même avant la crise du coronavirus, Lookout a observé que les utilisateurs de Google G Suite et Microsoft Office 365 sur leurs terminaux mobiles étaient sujets à 50% d’attaques de phishing en plus que les autres.
- Cette tendance continue, les acteurs malveillants ciblant plus largement des applications mobiles utilisées à la maison, telles que l’application Alexa.
Cet exemple montre la versatilité des liens malveillants et avec quelle facilité un acteur malveillant peut installer un malware sur le terminal de ses victimes sans qu’elles le sachent.
- Pour la plupart des gens, une attaque de phishing prend la forme d’un faux email qui mène à un site qui demande à saisir ses identifiants ou de transférer de l’argent. En réalité, le phishing va bien au delà.
- Une majorité des liens de phishing sont livrés via SMS, les plates-formes de réseaux sociaux ou des applications de messagerie tierces plutôt que par email afin de cibler des utilisateurs de mobiles.
- Les liens malveillants sont aussi utilisés pour livrer des contenus sans que l’utilisateur en ait connaissance, comme lors de cette attaque. Si les atttaquants sont capables d’exécuter cette attaque avec succès, l’application malveillante installée reste cachée dans l’ombre et peut exfiltrer tout type de données professionnelles ou personnelles, accédées par l’utilisateur.
- Une majorité des liens de phishing sont livrés via SMS, les plates-formes de réseaux sociaux ou des applications de messagerie tierces plutôt que par email afin de cibler des utilisateurs de mobiles.
- Les équipes de sécurité doivent comprendre que les outils de sécurité traditionnels ne protègeront pas leurs employés contre ce type d’attaque.
- Même si l’entreprise utilise un VPN, une authentification multifacteur (MFA), et gère ses terminaux avec une solution MDM (Mobile Device Management), aucune de ces solutions n’empêchera un employé de cliquer sur un lien de phishing et ainsi soit de divulguer ses identifiants d’accès soit d’introduire un malware dans l’infrastructure.
Dans le cas d’une application mobile grand public, les développeurs doivent y intégrer des fonctions de sécurité afin de protéger leurs utilisateurs contre des malwares.
- L’application mobile Alexa ne vous demande pas de vous connecter à chaque fois que vous l’ouvrez, ce qui veut idre que tout malware présent sur le terminal mobile a un accès libre à tout ce qui se trouve dans cette application.
- Les développeurs d’applications et les équipes de sécurité doivent travailler ensemble pour intégrer des mesures de sécurité dans leurs applications mobiles qui protègent l’utilisateur lorsqu’elles sont en fonctionnement.
- En travaillant ensemble, les équipes de sécurité et de développement peuvent intégrer un SDK de sécurité mobile qui empêchera l’utilisation de l’application mobile si un malware est détecté sur le terminal, et protègera aussi l’application elle même contre toute infection.
Les équipes de sécurité doivent comprendre que les terminaux mobiles sont le principal vecteur que les acteurs malveillants attaquent pour avoir accès à des données d’entreprise.
- Toujours plus d’employés travaillant à distance, l’environnement des menaces mobiles est devenu de plus en plus complexe.
- Vos équipes informatiques et de sécurité ne peuvent plus s’appuyer sur leur infrastructure de sécurité traditionnelle pour protéger l’entreprise.
- Les terminaux mobiles doivent désormais bénéficier du même niveau de protection que les postes de travail.
- Intégrer une plate-forme de sécurité mobile dans la stratégie de sécurité de votre organisation permettra à la fois de sécuriser les terminaux et de garantir la conformité de l’ensemble de la flotte mobile, de protéger les employés contre le phishing mobile, et d’éliminer tout risque de fraude sur mobile pour les consommateurs.
- Vos équipes informatiques et de sécurité ne peuvent plus s’appuyer sur leur infrastructure de sécurité traditionnelle pour protéger l’entreprise.
- En comprenant l’extension de l’environnement des menaces, vous pourrez former vos employés sur les moyens de déceler les tentatives de phishing et les activités malveillantes.
- La première ligne de défense contre une attaque de phishing n’est autre que les utilisateurs, et la formation de ces derniers à la sécurité sur mobile est donc hautement prioritaire pour n’importe quelle entreprise.
- Votre plate-forme de sécurité mobile devra aussi être capable de protéger à la fois les employés et les consommateurs contre l’ensemble du spectre des risques mobiles.